A propos des journées portes ouvertes du groupe UMP au Sénat

Qu’est-ce qu’ils sont taquins ces internautes ! A peine terminé un article à propos du splendide bilan Numérique de l’UMP sur ces 5 dernières années, nous étions informés d’une anomalie, et c’est peu de le dire, sur l’extranet du groupe UMP du Sénat. Notre première réaction, expérience oblige, fut de nous demander si nous n’étions pas sur un serveur de test. Ce n’était pas le cas. Nous avons donc décidé de publier, attendu que l’application était déjà compromise, en parfait libre accès. Techniquement, il faut bien avouer que ce que nous avons vu nous a beaucoup fait rire. Sur le fond, déjà beaucoup moins.

Que s’est il passé pour que ceci soit possible ? C’est une constante à l’UMP, on aime bien s’adresser à des agences de communication pour la réalisation de sites web.

  • On commence donc par s’adresser à une agence de communication pour développer une application. Un peu comme si vous alliez chercher votre baguette chez le garagiste ;
  • L’agence vous propose un design super sympa ;
  • Le design étant à peu près la seule chose sur laquelle le décideur pourra donner son avis sans avoir l’air d’un idiot, on élude allègrement toute considération technique relative à la sécurité élémentaire pour ce type d’application… une application privée, sur un réseau public.

En l’occurrence, l’agence de comm’, Artkom, a un très beau site web, original, qui fait sérieux. Il fait en tout cas plus sérieux que le profil public Facebook de son dirigeant pour qui être à poil sur le Net ne semble pas être un problème.

Comme son nom l’indique, c’est beau comme de l’art et ça communique bien. C’est d’ailleurs limite trop beau et trop original pour être propre. Impression confirmée dés que l’on jette un oeil au code source de la page d’accueil où l’on découvre le CSS en dur dans le code HTML

On trouve d’ailleurs assez facilement dans les réalisations de l’agence de communication interactive quelques exemples un peu flippants.

Une agence de communication peut toutefois sous-traiter les développements à une entreprise dont c’est la spécialité. Là visiblement, ce n’était pas trop le cas. L’extranet souffrait de deux problèmes :

  • un développement sale,
  • un administrateur système qui a fait un travail ni fait ni à faire… non en fait même pas c’est possible.

Le développement sale, on en trouve un bout dans le config.php qui a atterri sur Pastebin. Ce qui est intéressant maintenant c’est de comprendre comment. Là encore c’est pas glorieux :

  • aucun test de sécurité n’a été réalisé avant la mise en production. Certes la sécurité zéro défaut n’existe pas… mais là…
  • les pratiques élémentaires de configuration du serveur web n’ont pas été observées. Ceci est tout simplement impossible à envisager si le serveur avait été configuré par un administrateur système, fut-il étudiant en première année.  Les répertoires étaient indexables par les moteurs de recherche, et ils ont été indexés…. salement !

On y trouvait donc des choses censées être privées, ce qui franchement ne sautait pas aux yeux, qui se sont donc retrouvées parfaitement publiques, au demeurant très intéressantes, comme ces argumentaires ou encore comme ces lettres types (ZIP 996Ko).

Mais ce n’est pas tout ! Quand des internautes ont commencé à jouer avec l’extranet, ce dernier a révélé des erreurs grossières de permissions qui ont rendu possible l’envoi de code executable hostile sur le serveur permettant de récupérer le contenu du fichier config.php (avec identifiants et mots de passe).

Et il semble que certains s’en soient donnés à coeur joie, voici quelques exemples de la page d’accueil maintes fois reliftée par quelques farceurs :

Cette dernière était assez drôle et du coup une équipe d’investigation de FranceTV émettait l’hypothèse que l’extranet pourrait (ils n’étaient pas trop surs de leur coup hein…) avoir été piraté

Contre toute attente, l’administrateur du serveur s’est décidé à agir (monitoring applicatif efficace ou superpoke d’un pote sur Facebook lui expliquant qu’il avait un peu merdé… nous ne le saurons jamais). Le voici donc qui passe à l’action :

Sauf qu’il l’a fait vraiment n’importe comment, en posant une page d’accueil sans rien corriger. Du coup un petit farceur lui a fait remarquer, mais pour cela, il fallait sélectionner tout le texte de la page…

Ou tout simplement taper « ump sénat » dans Google

Concluons maintenant sur la palme de la niaiserie concernant ce non événement avec les explications de haut vol du genre  « mais pourquoi sont ils aussi méchants à faire des hacking des internets de l’UMP » de Menly, qui pense avoir trouvé en Anonymous les coupables tout désignés…

Twitter Facebook Google Plus email


34 thoughts on “A propos des journées portes ouvertes du groupe UMP au Sénat”

  1. Merci pour ce point LOL du lundi :)

    J’aimerais bien voir la facture de l’agence de comm’ pour l’extranet. Après tout, c’est un peu moi qui paye ;) Je me demande d’ailleurs combien je serais payé si dans mon boulot j’avais le même niveau de compétence…

  2. Le jour ou ils se decideront a mettre le prix qu’il faut dans la securite informatique n’est pas encore arrive, semble-t-il.
    A ce stade, le prix de la « negligence caracterisee » leur revient haut-la-main. Ils ne sont pas les seuls, je tiens a les rassurer mais:
    – ils sont recidivistes, et la situation empire a chaque nouvelle aventure; (bon, aucune donnee trop confidentielle sur ce coup-la, ca change)
    – et surtout, dans le meme temps, ils nous ont cree un delit de « negligence caracterisee de securisation d’acces Internet »… alors qu’ils ne sont pas capables de trouver un prestataire pour monter un site web avec un strict minimum de securite… (On ne leur demande meme pas de faire ca eux-memes, contrairement a eux.)

    Au moins, on rigole un bon coup a chaque fois. C’est toujours ca.

    1. C’est une private joke à destination de la presse qui aime ce manichéisme dans la catégorisation des hackers blackhat vs whitehat, j’avais sorti ça lors d’une interview l’année dernière, le concept du « rainbow hat »…

      1. Il est absent sur le site? interface dev?
        J’y ai même pas fait gaffe :(.
        En même temps je commence à m’intéresser à la sécurité que depuis très (très)peu de temps.
        Je n’ai pas encore les bons reflexes, et les bonnes conaissances(robot.txt..).
        Par exemple je sais que pour le .htaccess il devrait être logiquemebnt présent à la racine, mais je ne sais pas le débusquer.

        Je suis surpris que le slogan de Arkom ne t’ai pas fait tiquer
        Artkom interactive Le numérique est un média, il convient de savoir l’optimiser et l’utiliser.
        Merci

  3. Bon, c’est vrai qu’on rigole bien en ce moment.

    Mais personnellement, ça me donne envie de sortir ma batte de baseball, en fait.
    Cette bande de nazes ne me fait plus rire.
    C’est la même clique qui nous pond des lois, des décrets, qui concernent la santé, l’éducation, la défense, l’internet, etc… du copinage à l’état pur, de l’argent public, du m’enfoutisme aggravé, des indignations de gros nullos lorsqu’ils se font gauler.

    Putain, virons-les (à défaut de les fusiller sévèrement, comme disait l’autre).

  4. Questions corrélatives. Combien a touché l’agence de com avec le connard à poil pour patron ? Le contrat a t-il été soumis à mise en concurrence ?

    Sur le modèle « cathago delenda est », je rappelle encore une fois qu’on ne sait toujours le montant du patrimoine de Copé, ni s’il a vraiment cessé ses fonctions privées comme il avait promis de le faire…

  5. Incrocyable mais vrai, le peuple Français se demande ou va son argent , mais dans 2 jours cela risque de changer , en tout cas cela sent l’alternance !
    D’ici quelques années nous verrons si un autre parti peut mieux faire pour rendre la vie des concitoyens meilleure !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *